HSM/키관리(KMS) 관점의 PQC 전환: 키 수명·교체·감사 로그 설계

PQC 전환은 알고리즘만 바꾸는 일이 아니라 키 수명(cryptoperiod), 키 교체(rollover), 감사 로그까지 운영 규칙을 다시 짜는 작업이다. HSM과 KMS가 키의 생성·보관·사용·폐기를 쥐고 있으니, 여기 설계가 흔들리면 보안감사·장애대응에서 먼저 막힌다.

PQC 전환의 핵심 HSM·KMS 키 수명과 감사 로그

1) 키 수명 설계: “데이터 수명”에서 역산하기

PQC에서는 ‘지금 수집, 나중 복호화’ 같은 장기 노출 리스크를 특히 신경 써야 한다. 그래서 키 수명은 키 길이/알고리즘만 보지 말고, 데이터 보관 기간에서 역산해 정한다. 

KMS에서는 DEK·KEK·서명키·인증서키의 수명을 분리하고, HSM에서는 키 속성에 용도, 만료일, 허용 연산을 강제해 목적 외 사용을 차단한다. ML-KEM·ML-DSA처럼 키/서명 크기가 커지면 저장·백업 비용이 늘 수 있어, 장기키 최소화와 단기키 자동 로테이션 중심이 유리하다.

키 수명·교체 운영 흐름

2) 키 교체(롤오버): 하이브리드→전환→정리의 3단계

실무에서는 하이브리드(기존+PQC)로 시작해 점진 전환하는 흐름이 안전하다. KMS의 키 버전을 표준화해 서비스는 alias만 바라보고, 내부 키는 v1(기존)→v2(하이브리드)→v3(PQC)로 올린다. 이때 롤백이 설계돼야 한다. 

카나리 트래픽으로 지연, HSM 서명 TPS, 실패율을 계측하고 이상 시 alias를 즉시 이전 버전으로 되돌린다. PKI/서명은 검증 경로 단절 위험이 있어 전환기에는 이중 서명 또는 교차 인증 같은 안전장치를 정책으로 명시한다.

3) 감사 로그: “누가, 어떤 키로, 무엇을” 재현 가능하게

PQC 전환기에는 키 이벤트가 폭증하므로 감사 로그를 포렌식 관점으로 재설계해야 한다. 최소 이벤트는 생성/가져오기, 활성화, 로테이션, 비활성/폐기, 랩/언랩, 서명/검증, 권한 변경, 정책 변경이다. 

로그 필드는 키 ID·버전·알고리즘·키 용도·요청 주체·요청 소스·결과 코드·HSM 파티션/슬롯·상관관계 ID·정확한 타임스탬프를 포함한다. 중앙 수집 후 불변 저장, 시간 동기화, 접근 분리를 적용하고 로테이션 누락/실패 급증/비정상 관리자 작업을 정기 리포트로 자동화한다.

감사 로그와 추적성(Traceability)

4) 결론

HSM/KMS 관점의 PQC 전환은 ①데이터 보관 기간 기반 키 수명 재정의 ②버전·롤백 가능한 키 교체 절차 ③재현 가능한 감사 로그, 이 3축을 먼저 고정하는 게 핵심이다. 

이 레일이 깔리면 알고리즘 선택(FIPS 203/204/205 기반)과 성능 튜닝은 더 빠르게 안정화된다.